PowerShell RAT

Изследователите на киберсигурността са идентифицирали нов RAT (заплаха за отдалечен достъп), който киберпрестъпниците са използвали срещу цели в Германия. Троянският кон се проследява като PowerShell RAT и се разгръща чрез повредени уебсайтове, използвайки войната в Украйна като примамка.

PowerShell RAT е оборудван с типичната функционалност, която се очаква от заплахи от този тип. След като бъде разгърнат в целевите системи, той започва да събира съответните данни за устройството. Както подсказва името му, основните функции на заплахата се въртят около изпълнението на команди на скрипт на PowerShell. В допълнение, участниците в заплахата могат да ексфилтрират избрани файлове от нарушената система или да разположат допълнителни полезни товари в нея. Това позволява на нападателите да разширят своите възможности в системата в зависимост от целите си. Те могат да изтеглят и изпълняват допълнителни троянски коне, заплахи за рансъмуер, крипто копачи и др.

Уебсайтът за примамки, разпространяващ PowerShell RAT, е проектиран да прилича много на германския държавен уебсайт на Баден-Вюртемберг. Заплахите дори са използвали домейн - collaboration-bw(dot)de, който преди това е бил свързан с официалния сайт. На фалшивата страница потребителите ще получат точна информация за събитията, свързани с войната в Украйна. Сайтът ще се опита да убеди посетителите си да изтеглят файл с име „2022-Q2-Bedrohungslage-Ukraine.chm.txt“. Веднъж отворен, файлът ще покаже фалшиво съобщение за грешка за предполагаем проблем, докато компрометиран скрипт ще се изпълнява безшумно във фонов режим. Скриптът ще инициира веригата за заразяване на PowerShell RAT.